常用游戲分析工具

之 PChunter 及 procexp 使用心得

目錄
一、PC Hunter 功能簡介… 1
二、Process Explorer 功能簡介 … 2
三、魔域突防實例分析 … 3

一、PC Hunter 功能簡介

PC Hunter 是一款方便易用的手工殺毒工具。該軟件其實有著功能齊全的 windows 系統 信息查看內容，不但可以查看各類系統的信息，也支持找到電腦中存在的病毒木馬，讓你的 系統得到最佳保護。
PC Hunter 功能特點：
1.進程、線程、進程模塊、進程窗口、進程內存信息查看，殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT 信息查看，并能檢測和恢復 ssdt hook 和 inline hook
4.CreateProcess 、 CreateThread 、 LoadImage 、 CmpCallback 、 BugCheckCallback 、 Shutdown 、 Lego 等近 20 多種 Notify Routine 信息查看，并支持對這些 Notify Routine 的刪除
5.端口信息查看，目前不支持 2000 系統
6.查看消息鉤子
7.內核模塊的 iat、eat、inline hook、patches 檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，并支持刪除
9.注冊表編輯
10.進程 iat、eat、inline hook、patches 檢測和恢復
11.文件系統查看，支持基本的文件操作
12.查看（編輯）IE 插件、SPI、啟動項、服務、Hosts 文件、映像劫持、文件關聯、系統防火墻規則、 IME
13.ObjectType Hook 檢測和恢復
14.DPC 定時器檢測和刪除
15.MBR Rootkit 檢測和修復
16.內核對象劫持檢測

二、Process Explorer 功能簡介

Process Explorer 是一款增強型的任務管理器，你可以使用它方便地管理你的程序 進程，能強行關閉任何程序(包括系統級別的不允許隨便終止的“頑固”進程)。除此之外， 它還詳盡地顯示計算機信息：CPU、內存使用情況，DLL、句柄信息，很酷的曲線圖… 此為 最新版，原版、漢化均有較多改進，簽名驗證、DEP 等新的東西
1. 查看進程相關信息
啟動 procexp.exe 后,我們可以在你需要查看的進程上右鍵>屬性查看,也可以直接雙擊或點擊工 具欄上方的手勢按鈕,打開后我們可以看到程序的路徑,參數,線程等等信息

此處我們可以查看一個進程的文件版本,加載線程,網絡連接等各方面信息,其中有個比較有用的 功能是校驗程序的真偽.
我們知道目前網絡上病毒猖狂,偽造的或者被人修改的系統文件比比皆是,在這么多文件里面我 們根本難以區分哪些文件真正屬于微軟原版文件,指不定一個外表看上去微軟得不能再微軟的程序,實 際上跟微軟一點關系也沒有,甚至是植入了惡意程序.
當一個程序簽名是微軟的信息,而實際上被注入第三方線程或者干脆非微軟時,軟件默認會以紫 色醒目提示.同時,我們可以查看該進程屬性,點擊"verify"按鈕,程序會自動與微軟提供的程序符號表校 對,如果確系微軟文件,將會在版本信息處標識已校驗通過. 反之,如果非微軟的文件,則肯定無法與微軟提供的符號表相匹配,軟件將會提示無法驗證.如果簽 名信息為微軟,而又無法在此處通過驗證,那么此時你就要多留意此文件的安全性了.
2. 查看程序調用關系
一個程序往往由很多組件組成,程序通過各種調用關聯完成一系列的功能.當然,現在的程序編寫 多采用標準庫,查看到的也包含系統提供的相關模塊.
我們可以點擊工具欄上的面板按鈕,也可以按快捷 ctrl+l 或者 ctrl+d,一般多用 ctrl+d,軟件將自動 展開程序的下級調用查看面板,我們選擇一個程序,可以在下方看到相應的調用關系.
比如我要查看瀏覽器都加載了哪些插件,那么可以啟動瀏覽器,然后選擇瀏覽器進程,查看起調用 的所有動態鏈接庫.可能大部分都是微軟的公司簽名,那么我們可以點擊公司名稱標簽排序,這樣就可 以快速地篩選出非微軟的程序了.當然,純粹公司名是可以任意偽造的,要驗證真偽請參考前文.
在進程調用關系上,我們經常可以用于定位某些彈窗軟件.
我們經常會發現右下角多出個小窗,小窗內播放著各種誘惑的東西,這種廣告多如牛毛,還不知道 是誰彈的,那么此功能就派上用場了.

左鍵點住工具欄上的雷達圖標(一般是最后一個),拖到彈出的小窗上再松開,程序自動定位到窗 口程序,其程序間的父子關系一目了然,父進程就是罪魁禍首了,該怎么辦您自己看著辦.
3. 查找文件占用 其實是查看程序調用功能的延伸,本身程序能檢查到各個文件之間的相互調用關系,那么就很好 理解此功能的來源了.
我們平常可能會經常用到 unlock 這種工具刪除被占用的文件,原理也類似,我們可以利用 procexp 查找占用,然后將占用的程序結束掉再刪文件,就不用裝 unlock 了. 有一種程序一啟動就會占用的文件,此時我們可以將進程結束,然后點擊菜單>file>run/save 等功 能任意選一個,打開 windows 的對話框,在此找到要刪除的文件,右鍵能看到 explorer 下一樣的菜單,將 文件刪除即可.

三、魔域突防實例分析

魔域在啟動的時候，都會事先運行一個天晴安全防御。通過 procexp，我們可以看到這 時候，魔域所調用的 DLL 及模塊是全部看不見得，這時候，我們就可以通過 PcHunter,來把 天晴安全防御相關功能給禁用，來達到突防的效果。
1.首先在 PChunter 中，我們查看 System 中是否有進行相關調用。
2.在進程選項卡，右鍵 System，查看進程線程，這時候出現 202 個進程線程


3. 把模塊按首字母排序，我們從上往下查找，看看有什么是和天晴安全防御或者魔域相關 的模塊。可以發現有一個模塊名叫 TQHOOK（天晴 HOOK 的縮寫） 。我們右鍵它，把它給暫 停，為什么不強制結束呢，因為這是在系統進程中調用的，強制結束可能會使游戲瞬間 崩潰，我們通過暫停就可以獲得同樣的效果。

4. 返回 procexp 中， 發現仍然是處于不可見的狀態。 那么， 我們繼續使用 PChunter 往下看。
5. 打開選項卡”內核鉤子”→子選項卡“內核鉤子” ，可以發現這里仍然 有一個 TQHOOK 相 關的鉤子。我們右鍵把它恢復

6. 繼續打開旁邊的“Objiect 鉤子”子選項卡，我們又發現一個 TQHOOK 相關的鉤子。 同樣的方法把它恢復。

7. 返回 procexp 中，就可以發現與魔域 soul.exe 有關的模塊調用統統可以查看到了，這就 說明防御被突破了 通過修改被調用的 DLL，就可以添加一些輔助功能了，比如說 QA 游戲測試三處三組自主研 發的天晴游戲性能檢測工具。可以很好的展示游戲的內存占用以及刷新率

總結

以上是生活随笔為你收集整理的常用游戏分析工具 之 PChunter 及 procexp 使用心得的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。